@aegis-scan/skills 0.5.0 → 0.5.2

package/skills/compliance/aegis-native/brutaler-anwalt/references/eu-eugh-dsgvo-schadensersatz.md

@@ -0,0 +1,223 @@
+# EuGH-DSGVO-Schadensersatz-Linie — Skill-Reference v1.0
+
+> Stand: 2026-05-05 · 24 verifizierte EuGH-Urteile zu Art. 82 DSGVO + DSGVO-Compliance-Anwendung (Tier-1: 11 + Tier-2: 13). 1 Az. (C-687/23) als NOT_VERIFIED gefuehrt.
+> Provenance-discipline: jeder Eintrag mit Primaerquelle (curia.europa.eu / EUR-Lex) plus mind. 1 Sekundaerquelle (dejure / NWB / Anwalts-Kanzlei). Verifikation via WebSearch+Sekundaerquellen-Cross-Check (curia.europa.eu InfoCuria selbst war 2026-05-05 via WebFetch 403-blockiert — daher `[secondary-source-verified]` durchgehend).
+> Generiert fuer brutaler-anwalt v5.0.0 Max-Out (Phase 2.1).
+
+> **Source-Pflicht**: jeder Eintrag enthaelt Az., Datum, Tenor-Kern, Anwendungs-Pattern und mind. 1 Primaerquelle (curia.europa.eu) oder 2 Sekundaerquellen. Eintraege ohne ausreichende Verifikation werden im Abschnitt `NOT_VERIFIED` gefuehrt und nicht im Skill-Output zitiert.
+
+> **Az.-Konvention**: alle Aktenzeichen im EuGH-Format `C-NNN/YY`.
+
+---
+
+## Inhalt
+
+### Tier-1 — Schadensersatz-Grundlinie (must-cite-Standard)
+
+1. C-300/21 — Oesterreichische Post (04.05.2023)
+2. C-340/21 — Natsionalna agentsia za prihodite (14.12.2023)
+3. C-456/22 — Gemeinde Ummendorf (14.12.2023)
+4. C-687/21 — Saturn / MediaMarktSaturn (25.01.2024)
+5. C-26/22 — SCHUFA-Scoring (07.12.2023)
+6. C-634/21 — SCHUFA Restschuldbefreiung (07.12.2023)
+7. C-21/23 — Lindenapotheke (04.10.2024)
+8. C-590/22 — PS GbR (11.04.2024)
+9. C-446/21 — Schrems vs. Meta (04.10.2024)
+10. C-65/23 — MK gegen K GmbH (19.12.2024)
+11. C-394/23 — Mousse / SNCF Connect (09.01.2025)
+
+### Tier-2 — Vertiefungs-Linie
+
+12. C-182/22 + C-189/22 — Scalable Capital (20.06.2024)
+13. C-200/23 — Agentsia po vpisvaniyata (04.10.2024)
+14. C-757/22 — Meta Platforms / Verbandsklage (11.07.2024)
+15. C-61/22 — RL gg. Landeshauptstadt Wiesbaden (21.03.2024)
+16. C-740/22 — Endemol Shine Finland (07.03.2024)
+17. C-118/22 — Direktor na Glavna direktsia (30.01.2024)
+18. C-548/21 — Bezirkshauptmannschaft Landeck (04.10.2024)
+19. C-17/22 + C-18/22 — HTB Neunte Immobilien (12.09.2024)
+20. C-621/22 — KNLTB / Tennisbond (04.10.2024)
+21. C-741/21 — juris GmbH (11.04.2024)
+22. C-479/22 P — OC / OLAF (11.07.2024)
+23. C-768/21 — Hessischer Datenschutzbeauftragter (26.09.2024)
+24. C-807/21 — Deutsche Wohnen (05.12.2023) — CRITICAL fuer Bussgeld-Argumentation
+25. ~~C-687/23 — Verzeichnis-Verarbeitung (2025)~~ → siehe NOT_VERIFIED
+
+---
+
+## Tier-1 — Schadensersatz-Grundlinie (must-cite-Standard)
+
+### EuGH — C-300/21 UI gg. Oesterreichische Post AG (04.05.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Der **blosse Verstoss** gegen die DSGVO begruendet **keinen** Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Erforderlich ist (1) Verstoss, (2) Schaden, (3) Kausalzusammenhang. Aber: **keine Erheblichkeitsschwelle** — auch Bagatell-Schaden ist ersatzfaehig, sofern konkret nachgewiesen. Nationale Rechtspraktiken, die Schadensersatz von einem "gewissen Schweregrad" abhaengig machen, sind **unionsrechtswidrig**.
+- **Anwendung (Skill-Pattern)**: Mandant berichtet Aerger/Sorge wegen DSGVO-Verstoss → drei Tatbestandsvoraussetzungen pruefen (Verstoss + konkreter Schaden + Kausalitaet). Konkreter Schaden ist **darzulegen** (nicht nur "Empoerung"), aber an die Schwere keine Mindestanforderung. Im Audit-Memo: jede Praxis, die Bagatellschwelle einbaut (z.B. "nur ab 500 EUR"), ist nicht haltbar.
+- **Source**: [curia.europa.eu C-300/21](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-300%2F21) · [EUR-Lex 62021CJ0300](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0300) · [dejure.org EuGH 04.05.2023 C-300/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=04.05.2023&Aktenzeichen=C-300%2F21)
+
+### EuGH — C-340/21 VB gg. Natsionalna agentsia za prihodite (14.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Bei Datenleck (hier: Cyber-Angriff auf bulgarische Steuerbehoerde, ~6 Mio. Betroffene) kann allein die **Befuerchtung des Missbrauchs** kuenftig durch Dritte einen ersatzfaehigen immateriellen Schaden i.S.v. Art. 82 DSGVO begruenden. Beweislast fuer Angemessenheit der TOMs nach Art. 24, 32 DSGVO liegt beim Verantwortlichen (faktische Beweislastumkehr). Unbefugter Zugriff durch Dritte fuehrt nicht automatisch dazu, dass TOMs unangemessen waren — aber Verantwortlicher muss aktiv darlegen.
+- **Anwendung (Skill-Pattern)**: Bei Datenpannen-Memo: (1) auf Befuerchtungs-Schaden hinweisen (kein realer Missbrauch noetig); (2) Verantwortlicher muss TOMs-Angemessenheit beweisen — Audit-Logs, Pen-Tests, ISO-27001-Nachweise sammeln. Bei Skill-Output zu Mandant-Datenpanne: "Befuerchtungs-Schaden ist DSGVO-Standard, nicht Theorie".
+- **Source**: [curia.europa.eu C-340/21](https://curia.europa.eu/juris/liste.jsf?num=C-340%2F21) · [EUR-Lex 62021CJ0340](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62021CJ0340) · [GDPRhub C-340/21](https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91340/21_-_Natsionalna_agentsia_za_prihodite)
+
+### EuGH — C-456/22 VX, AT gg. Gemeinde Ummendorf (14.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Art. 82 DSGVO setzt **keine** "de minimis"-Schwelle voraus. Auch der **kurzfristige Kontrollverlust** ueber personenbezogene Daten (hier: Veroeffentlichung von Name + Adresse fuer 3 Tage auf Gemeindewebsite ohne Einwilligung) kann immateriellen Schaden begruenden. Aber: blosser Verstoss reicht weiterhin nicht — Schaden ist **konkret** zu beweisen. Keine Anforderungen an Wahrnehmbarkeit/Objektivitaet des Schadens.
+- **Anwendung (Skill-Pattern)**: Audit findet "kurze Veroeffentlichung" (z.B. Doxxing 24h, dann geloescht) → Schadensersatz weiterhin moeglich, weil Bagatellschwelle abgelehnt. Im Memo: "EuGH C-456/22 hat ausdruecklich klargestellt, dass Veroeffentlichungs-Dauer irrelevant fuer den Anspruch ist — relevant nur fuer die Hoehe".
+- **Source**: [curia.europa.eu C-456/22](https://curia.europa.eu/juris/document/document.jsf?docid=280630&pageIndex=0&doclang=DE) · [dejure.org EuGH 14.12.2023 C-456/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-456/22) · [Taylor Wessing — C-340/21 + C-456/22](https://www.taylorwessing.com/en/insights-and-events/insights/2023/12/c-340-21-c-456-22)
+
+### EuGH — C-687/21 BL gg. MediaMarktSaturn (25.01.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Versehentliche Weitergabe personenbezogener Daten an unbefugten Dritten (hier: Kassenbon mit Kreditdokument an falschen Kunden ueber Saturn-Filiale) — nicht jede Befuerchtung loest Schadensersatz aus. Erforderlich ist **begruendete** (nicht rein hypothetische) Befuerchtung des Missbrauchs durch Dritte. Beweislast fuer Schaden traegt Anspruchsteller, nicht der Verantwortliche.
+- **Anwendung (Skill-Pattern)**: Bei punktueller Datenweitergabe ans falsche Postfach / falschen Kunden: Praezisierung der Befuerchtung ist die Crux — abstrakt "irgendjemand koennte die Daten kopieren" reicht nicht. Konkret darlegen: Welche Daten? Welcher Empfaenger? Welche realistische Missbrauchs-Szenarien? Im Skill-Output: zwischen C-340/21 (begruendete Befuerchtung wegen Cyberangriff = ja) und C-687/21 (rein hypothetisch = nein) abgrenzen.
+- **Source**: [curia.europa.eu C-687/21](https://curia.europa.eu/juris/document/document.jsf?docid=282202) · [EUR-Lex 62021CJ0687](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0687) · [dejure.org EuGH 25.01.2024 C-687/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687/21) · [WBS-Legal — C-687/21](https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/eugh-zu-mediamarkt-ungutes-gefuehl-kann-weiterhin-schadensersatz-ausloesen-72468/)
+
+### EuGH — C-26/22 + C-64/22 SCHUFA Holding (Scoring) (07.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Die automatisierte Erstellung eines **Wahrscheinlichkeitswerts** durch eine Wirtschaftsauskunftei (SCHUFA-Score) zur Zahlungsfaehigkeit einer Person stellt eine "automatisierte Entscheidung im Einzelfall" i.S.v. Art. 22 Abs. 1 DSGVO dar, **wenn** die Entscheidung Dritter (z.B. Bank ueber Kreditvergabe) **massgeblich** von diesem Wert abhaengt. Damit grundsaetzlich verboten — Ausnahmen nach Art. 22 Abs. 2 DSGVO (Vertrag, Einwilligung, Mitgliedstaaten-Recht) noetig.
+- **Anwendung (Skill-Pattern)**: Jede Plattform mit eigenem Scoring (Bonity, Credit-Risk, Fraud-Score) der "wesentlich" in Drittentscheidungen einfliesst → Art. 22 DSGVO greift. Audit-Punkt: Existiert Rechtsgrundlage fuer automatisierte Entscheidung? Existiert Recht auf menschliches Eingreifen + Standpunkt-Aeusserung + Anfechtung (Art. 22 Abs. 3 DSGVO)? KI-basierte Entscheidungssysteme (Mietfaehigkeit, Versicherungstarife, AI-Hiring) muessen sich daran messen lassen.
+- **Source**: [curia.europa.eu C-634/21 (verbundene Sache)](https://curia.europa.eu/juris/document/document.jsf?docid=280426&pageIndex=0&doclang=DE) · [LTO — SCHUFA-Scoring](https://www.lto.de/recht/kanzleien-unternehmen/k/eugh-entscheidung-urteil-c63421-c2622-c6422-bonitaet-score-zahlungsprognose-vorlage-vg-wiesbaden-schufa) · [dejure.org C-26/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-26/22)
+
+### EuGH — C-634/21 OQ gg. SCHUFA Holding (Restschuldbefreiung) (07.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Die laengere Speicherung von Daten zur erteilten Restschuldbefreiung durch private Wirtschaftsauskunfteien als im oeffentlichen Insolvenzregister (dort: 6 Monate) ist **DSGVO-widrig**. Nach Ablauf der oeffentlichen Speicherfrist haben Betroffene ein Recht auf sofortige Loeschung (Art. 17 DSGVO).
+- **Anwendung (Skill-Pattern)**: Mandant mit erteilter Restschuldbefreiung, dessen Score-Negativeintrag laenger als 6 Monate weiter gefuehrt wird → unmittelbarer Loeschungsanspruch + Schadensersatz fuer Kontrollverlust. Audit-Pattern fuer FinTech/Bonitaets-APIs: speichert die Plattform Insolvenz-Daten laenger als oeffentliche Frist? Compliance-Verstoss + DSGVO-Schadensersatz nach Art. 82.
+- **Source**: [curia.europa.eu C-634/21](https://curia.europa.eu/juris/liste.jsf?language=de&td=ALL&num=C-634%2F21) · [EUR-Lex 62021CJ0634](https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62021CJ0634) · [NWB C-634/21](https://datenbank.nwb.de/Dokument/1036368/) · [dejure.org C-634/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-634%2F21)
+
+### EuGH — C-21/23 ND gg. DR (Lindenapotheke) (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Mitgliedstaaten duerfen **Mitbewerbern** die Befugnis einraeumen, DSGVO-Verstoesse als unlautere Geschaeftspraxis (UWG) vor Zivilgerichten zu verfolgen — DSGVO Kapitel VIII steht dem nicht entgegen. (2) Daten, die bei Online-Bestellung apothekenpflichtiger Medikamente angegeben werden (Name, Lieferadresse, Medikament-Identifikation) sind **Gesundheitsdaten** i.S.v. Art. 9 DSGVO — auch wenn das Medikament nicht-rezeptpflichtig ist und der Besteller nicht der Patient ist.
+- **Anwendung (Skill-Pattern)**: (1) UWG-Mitbewerber-Klagen wegen DSGVO-Verstoss sind in Deutschland zulaessig — Plattformen muessen mit Konkurrenz-Klagen rechnen, nicht nur Aufsichtsbehoerden-Bussgeld. (2) Telemedizin/E-Health/Online-Apotheken: jede Daten-Erhebung im Bestellkontext ist Gesundheitsdaten-Verarbeitung — strengere Rechtsgrundlage (Art. 9 Abs. 2 DSGVO, idR explizite Einwilligung) erforderlich.
+- **Source**: [curia.europa.eu C-21/23](https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&doclang=DE) · [curia.europa.eu PM cp240159de](https://curia.europa.eu/site/upload/docs/application/pdf/2024-10/cp240159de.pdf) · [Taylor Wessing — Lindenapotheke](https://www.taylorwessing.com/en/insights-and-events/insights/2024/10/ecj-lindenapotheke)
+
+### EuGH — C-590/22 AT, BT gg. PS GbR (20.06.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (Korrigierte Datierung: 20.06.2024, nicht 11.04.2024.) (1) Verstoss allein begruendet keinen Anspruch — Schaden + Kausalitaet noetig. (2) **Keine Erheblichkeitsschwelle** (Bestaetigung von C-300/21). (3) Bei der **Hoehe** des Schadensersatzes nach Art. 82 DSGVO sind **Bussgeld-Bemessungskriterien (Art. 83 DSGVO) NICHT** anwendbar — Schadensersatz hat reine **Kompensationsfunktion**, keine Abschreckungs- oder Strafzweck. Bemessung orientiert sich an konkreten Auswirkungen fuer den Betroffenen.
+- **Anwendung (Skill-Pattern)**: Bei Schadensersatz-Memo: NICHT mit Bussgeld-Hoehen argumentieren ("Aufsichtsbehoerde haette 100k verhaengt → also 5k Schadensersatz") — der EuGH lehnt diese Bemessungs-Logik ab. Stattdessen: konkrete Auswirkungen fuer den Mandanten herausarbeiten (Aerger-Dauer, Daten-Sensitivitaet, Wiederholbarkeit, Kontrollverlust-Tiefe).
+- **Source**: [curia.europa.eu C-590/22](https://curia.europa.eu/juris/document/document.jsf?text=&docid=287305&pageIndex=0&doclang=DE) · [NWB C-590/22](https://datenbank.nwb.de/Dokument/1066307/) · [dejure.org EuGH 20.06.2024 C-590/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=20.06.2024&Aktenzeichen=C-590/22)
+
+### EuGH — C-446/21 Schrems gg. Meta Platforms Ireland (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) **Datenminimierungs-Grundsatz** (Art. 5 Abs. 1 lit. c DSGVO) verbietet die zeitlich unbegrenzte und undifferenzierte Verarbeitung **aller** personenbezogenen Daten fuer personalisierte Werbung. (2) Art. 9 Abs. 2 lit. e DSGVO ("offensichtlich oeffentlich gemachte sensible Daten"): Wenn ein Betroffener seine sexuelle Orientierung in einer oeffentlichen Podiumsdiskussion offenbart, **erlaubt das nicht** der Plattform, **andere** sensible Daten desselben Betroffenen aus anderen Quellen ohne Einwilligung zu verarbeiten. Die Ausnahme greift nur fuer **die konkret oeffentlich gemachte Tatsache**.
+- **Anwendung (Skill-Pattern)**: Werbe-/Profiling-Audits: Daten-Aggregation aus mehreren Quellen ist Datenminimierungs-Verstoss, wenn keine zeitliche/sachliche Begrenzung. Art. 9-Falle: NICHT pauschal "Nutzer hat selbst gepostet" als Rechtsgrundlage — die Ausnahme ist eng. Im Memo: Datenminimierungs-Pruefung muss **zwei** Stufen umfassen: zeitlich (Loeschfristen) + sachlich (Datenkategorien).
+- **Source**: [curia.europa.eu C-446/21](https://curia.europa.eu/juris/document/document.jsf?docid=290674&pageIndex=0&doclang=DE) · [EUR-Lex 62021CJ0446](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0446) · [LTO — Schrems vs Meta](https://www.lto.de/recht/nachrichten/n/c-446/21-eugh-zu-personalisierter-werbung-maximilian-schrems)
+
+### EuGH — C-65/23 MK gg. K GmbH (19.12.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Eine nationale Vorschrift / **Betriebsvereinbarung** (Kollektivvereinbarung) nach Art. 88 Abs. 1 DSGVO zur Verarbeitung von Beschaeftigtendaten muss **kumulativ** den Vorgaben aus Art. 88 Abs. 2 DSGVO **UND** Art. 5, 6 Abs. 1, 9 Abs. 1 + 2 DSGVO genuegen. (2) Der Beurteilungsspielraum der Tarifpartner zur Frage der "Erforderlichkeit" einer Datenverarbeitung **entbindet** das nationale Gericht **nicht** von einer **vollstaendigen** Pruefung am DSGVO-Massstab.
+- **Anwendung (Skill-Pattern)**: Beschaeftigten-Tools (Workday, HRIS, Workforce-Analytics, Mitarbeiter-Monitoring) — Berufung auf Betriebsvereinbarung als Rechtsgrundlage ist keine Schutzschicht. Audit-Pattern: jede BV mit weiter "Datenverarbeitungs-Klausel" ist potentiell unwirksam — gerichtliche Pruefung ist voll, nicht reduziert. Bei Mandant-Memo: BV-basierte Verarbeitungen explizit am Erforderlichkeits-Massstab pruefen.
+- **Source**: [curia.europa.eu C-65/23](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-65%2F23) · [NWB C-65/23](https://datenbank.nwb.de/Dokument/1067732/) · [dejure.org EuGH 19.12.2024 C-65/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=19.12.2024&Aktenzeichen=C-65/23)
+
+### EuGH — C-394/23 Mousse gg. CNIL + SNCF Connect (09.01.2025) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Pflichtangabe der **Anrede** ("Herr"/"Frau") beim Online-Ticketkauf ist **nicht erforderlich** im Sinne des Datenminimierungs-Grundsatzes (Art. 5 Abs. 1 lit. c DSGVO) und **weder** zur Vertragserfuellung (Art. 6 Abs. 1 lit. b) **noch** zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) gerechtfertigt — auch nicht zur "Personalisierung der Geschaeftskommunikation". Geschlechts-Identitaet ist kein notwendiger Vertragsbestandteil.
+- **Anwendung (Skill-Pattern)**: Sign-Up-Forms / Bestell-Formulare auditieren: jedes Pflichtfeld pruefen — was ist sachlich noetig? Anrede, Geschlecht, Geburtstag (ausser bei Altersnachweis-Pflicht) sind regelmaessig **nicht erforderlich**. Pattern fuers Memo: "Personalisierung der Anrede" ist KEIN berechtigtes Interesse — EuGH C-394/23 explizit. Newsletter / Onboarding-Flows entsprechend abspecken.
+- **Source**: [curia.europa.eu C-394/23 PM cp250002en](https://curia.europa.eu/site/upload/docs/application/pdf/2025-01/cp250002en.pdf) · [EUR-Lex 62023CJ0394](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62023CJ0394) · [dejure.org EuGH 09.01.2025 C-394/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=09.01.2025&Aktenzeichen=C-394/23)
+
+---
+
+## Tier-2 — Vertiefungs-Linie
+
+### EuGH — C-182/22 + C-189/22 JU + SO gg. Scalable Capital (20.06.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Der Begriff **"Identitaetsdiebstahl"** in Erwaegungsgrund 75 + 85 DSGVO setzt voraus, dass ein Dritter die Identitaet einer Person **tatsaechlich annimmt**. Aber: Der Schadensersatz fuer immateriellen Schaden nach Art. 82 ist **nicht** auf Faelle beschraenkt, in denen ein Identitaetsdiebstahl/Betrug folgte. (2) Immaterieller Schaden durch DSGVO-Verstoss ist **nicht systemisch weniger schwer** als koerperlicher Schaden — voller Ausgleich erforderlich.
+- **Anwendung (Skill-Pattern)**: Bei Trading-App / FinTech-Datenleck: blosse "Befuerchtung des Missbrauchs" reicht (vgl. C-340/21), echter Identitaetsdiebstahl ist nicht erforderlich. Aber: Begriff "Identitaetsdiebstahl" eng auslegen — nicht jeder Datenverlust = ID-Theft. Im Memo: kategorisches Differenzieren zwischen "Datenverlust mit Befuerchtungs-Schaden" (alle Faelle) und "Identitaetsdiebstahl" (nur bei tatsaechlicher Uebernahme).
+- **Source**: [curia.europa.eu C-182/22 + C-189/22](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-182%2F22) · [dejure.org EuGH 20.06.2024 C-182/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=20.06.2024&Aktenzeichen=C-182/22) · [otto-schmidt — Scalable Capital](https://www.otto-schmidt.de/news/wirtschaftsrecht/scalable-capital-trading-app-schadensersatz-fur-diebstahl-der-hinterlegten-personlichen-daten-2024-06-24.html)
+
+### EuGH — C-200/23 Agentsia po vpisvaniyata gg. OL (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Betreiber oeffentlicher Register (Handelsregister) sind **Verantwortliche** i.S.d. Art. 4 Nr. 7 DSGVO fuer die im Register enthaltenen personenbezogenen Daten. (2) Daten im oeffentlichen Register sind zu **minimieren** und nur dann offenzulegen, wenn gesetzlich erforderlich. (3) Auch ohne **greifbare nachteilige Folgen** kann der Kontrollverlust ueber Daten immateriellen Schaden begruenden — Schaden muss konkret nachgewiesen sein, aber kann minimal sein.
+- **Anwendung (Skill-Pattern)**: Plattform-Betreiber, die oeffentliche Register-Daten weiterverarbeiten (LegalTech, Compliance-APIs, KYC-Loesungen) — sind selbst Verantwortliche, nicht nur Empfaenger. Audit-Pattern: Datenminimierung beim Register-Pull (nicht "alle Felder", sondern was gesetzlich gedeckt ist) + DSE/Loeschkonzepte.
+- **Source**: [curia.europa.eu C-200/23](https://curia.europa.eu/juris/liste.jsf?num=C-200/23) · [EUR-Lex 62023CJ0200](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62023CJ0200) · [NWB C-200/23](https://datenbank.nwb.de/Dokument/1066910/)
+
+### EuGH — C-757/22 Meta Platforms Ireland gg. Bundesverband der Verbraucherzentralen (11.07.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Verstoesse gegen Informationspflichten nach Art. 12 + 13 DSGVO koennen Gegenstand einer **Verbandsklage** nach Art. 80 Abs. 2 DSGVO i.V.m. § 3 UKlaG / § 8 UWG sein. Verbraucherschutzverbaende koennen ohne Mandat einzelner Betroffener klagen.
+- **Anwendung (Skill-Pattern)**: Plattformen mit unklarer Datenschutzerklaerung / fehlender Art-13-Information am Sign-Up muessen mit Verbandsklagen rechnen — nicht nur DSGVO-Bussgeld + Mitbewerber-UWG (vgl. C-21/23). Im Memo bei Plattform-Mandanten: Triple-Risiko-Argument (Aufsichtsbehoerde + Mitbewerber + Verbandsklage).
+- **Source**: [curia.europa.eu C-757/22](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0757) · [dejure.org EuGH 11.07.2024 C-757/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=11.07.2024&Aktenzeichen=C-757/22) · [Taylor Wessing — C-757/22](https://www.taylorwessing.com/en/insights-and-events/insights/2024/07/urteil-des-eugh-in-der-rechtssache-c75722)
+
+### EuGH — C-61/22 RL gg. Landeshauptstadt Wiesbaden (21.03.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Die Pflicht zur Aufnahme von zwei **Fingerabdruecken** in nationalen Personalausweisen (VO 2019/1157) ist mit Art. 7 + Art. 8 Grundrechte-Charta vereinbar. (2) Aber: Die VO 2019/1157 ist wegen **Wahl der falschen Rechtsgrundlage** (Art. 21 Abs. 2 AEUV statt Art. 77 Abs. 3 AEUV — ordentliches statt besonderes Gesetzgebungsverfahren) **ungueltig**. Effekte aufrechterhalten bis spaetestens 31.12.2026.
+- **Anwendung (Skill-Pattern)**: Biometrische Daten-Verarbeitung mit Bezug auf den Personalausweis ist legitim, aber regulierungsbasiert — fuer **andere** biometrische Verarbeitungen (Mitarbeiter-Zeit-Erfassung, Login, Smart-City) gelten die strengen Massstaebe von Art. 9 DSGVO. Im Audit: VO-2019/1157-Anwendungen abgrenzen von Eigen-Verarbeitung biometrischer Daten.
+- **Source**: [curia.europa.eu C-61/22](https://curia.europa.eu/juris/liste.jsf?num=C-61/22) · [dejure.org EuGH 21.03.2024 C-61/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=21.03.2024&Aktenzeichen=C-61/22) · [verwaltungsgerichtsbarkeit.hessen — C-61/22](https://verwaltungsgerichtsbarkeit.hessen.de/presse/fingerabdruckpflicht-in-personalausweisen-rechtmaessig)
+
+### EuGH — C-740/22 Endemol Shine Finland Oy (07.03.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Die **muendliche** Weitergabe von Informationen ueber strafrechtliche Verurteilungen einer natuerlichen Person an eine Privatperson/Unternehmen stellt eine **Verarbeitung** i.S.v. Art. 4 Nr. 2 DSGVO dar. (2) Die Bekanntgabe von Strafdaten an jeden, der sie ohne Nachweis eines spezifischen Interesses verlangt, ist mit der DSGVO **nicht vereinbar**.
+- **Anwendung (Skill-Pattern)**: Telefonische Auskunfts-Anfragen / Mitarbeiter-Calls mit personenbezogenen Daten = Verarbeitung — DSGVO greift voll. Wichtig fuer Audit-Pattern bei Hotline-Operations / Telephone-Sales / Mitarbeiter-Briefings: muendliche Datenweitergabe ist NICHT informell-frei. Im Memo: jede Hotline-/Call-Center-Practice bei Tinder-Style Identitaets-Auskunft pruefen.
+- **Source**: [curia.europa.eu C-740/22](https://curia.europa.eu/juris/liste.jsf?num=C-740/22) · [dejure.org EuGH 07.03.2024 C-740/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=07.03.2024&Aktenzeichen=C-740/22)
+
+### EuGH — C-118/22 NG gg. Direktor na GDNP, Sofia (30.01.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Polizeibehoerden duerfen biometrische und genetische Daten von rechtskraeftig wegen vorsaetzlicher Straftat verurteilten Personen **nicht generell und unterschiedslos bis zum Tod** ohne zeitliche Begrenzung speichern — Verstoss gegen Datenminimierungs-Grundsatz nach RL 2016/680 (LED, nicht DSGVO). Mitgliedstaaten muessen Speicherdauern an Schwere der Tat / Resozialisierungsbeduerfnis koppeln.
+- **Anwendung (Skill-Pattern)**: Gilt fuer Polizei-Datenbanken nach LED, nicht fuer Privatwirtschaft. Aber: Argumentations-Spillover fuer **andere** Speicherbegrenzungs-Faelle — wenn Mitgliedstaat-Recht zur Speicherung "unbestimmt lang" nicht haelt, kann Betroffener Loeschung verlangen. Im Memo bei Mandant in Vorstrafen-Datenbank-Falle: konkrete Speicherdauer-Vorgabe nachfragen.
+- **Source**: [curia.europa.eu C-118/22](https://curia.europa.eu/juris/liste.jsf?num=C-118/22) · [GDPRhub C-118/22](https://gdprhub.eu/index.php?title=CJEU_-_C-118/22_-_Direktor_na_Glavna_direktsia_%E2%80%98Natsionalna_politsia%E2%80%99_pri_MVR_%E2%80%93_Sofia) · [dejure.org EuGH 30.01.2024 C-118/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=30.01.2024&Aktenzeichen=C-118/22)
+
+### EuGH — C-548/21 CG gg. Bezirkshauptmannschaft Landeck (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Polizeilicher Zugriff auf Daten in einem **Smartphone** setzt **vorherige richterliche** (oder durch unabhaengige Behoerde) Genehmigung voraus und muss verhaeltnismaessig sein. Der nationale Gesetzgeber muss die Faktoren (Art/Kategorie der Straftat) konkret regeln. Auch der erfolglose **Entsperr-Versuch** ist als relevanter Grundrechtseingriff zu werten. Betroffener ist nachtraeglich zu informieren.
+- **Anwendung (Skill-Pattern)**: Stellt Massstaebe fuer staatlich-erzwungene Smartphone-Auswertung. Im Skill-Output bei Mandant mit Polizei-/Behoerden-Zugriff: pruefen, ob (1) Richter-Vorbehalt eingehalten, (2) Verhaeltnismaessigkeits-Abwaegung dokumentiert, (3) Information stattfand. Bei privatwirtschaftlichen MDM-/BYOD-Auslese-Tools nicht direkt anwendbar, aber Argumentations-Anker fuer "Smartphone als sensible Daten-Box".
+- **Source**: [curia.europa.eu C-548/21](https://curia.europa.eu/juris/liste.jsf;jsessionid=844163B8D8ECC2CE09614BA0FA102647?num=C-548/21&language=de) · [curia.europa.eu PM cp240171en](https://curia.europa.eu/site/upload/docs/application/pdf/2024-10/cp240171en.pdf) · [EUR-Lex 62021CJ0548](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62021CJ0548)
+
+### EuGH — C-17/22 + C-18/22 HTB Neunte Immobilien Portfolio + Oekorenta (12.09.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Die Weitergabe von Namen und Anschriften von **mittelbar ueber Treuhaender beteiligten Gesellschaftern** an einen anderen Gesellschafter eines Investmentfonds (geschlossener Fonds) **kann** auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) **oder** lit. f (berechtigtes Interesse) gestuetzt werden, wenn keine **praktikable, weniger eingriffsintensive Alternative** existiert und das Auskunftsbegehren zum Wesensgehalt des Gesellschafter-Rechts gehoert. Kippt die strenge BGH-Linie, die Auskunfts-Anspruch teils versagte.
+- **Anwendung (Skill-Pattern)**: Bei mittelbar-beteiligten Gesellschaftern / Investoren in Closed-Funds: Auskunftsanspruch ueber Mit-Gesellschafter ist mit DSGVO vereinbar — nicht mehr "DSGVO-Schutz" als Anti-Auskunfts-Schutzschild. Im Memo bei Mandant-Fondskonflikten: BGH-Vor-Entscheidungen kritisch hinterfragen.
+- **Source**: [curia.europa.eu C-17/22 + C-18/22](https://curia.europa.eu/juris/liste.jsf?num=C-17/22) · [EUR-Lex 62022CJ0017](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0017) · [NWB C-17/22](https://datenbank.nwb.de/Dokument/1066308/)
+
+### EuGH — C-621/22 Koninklijke Nederlandse Lawn Tennisbond gg. AP (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Ein **rein wirtschaftliches** Interesse (hier: Verkauf von Mitgliederdaten durch den Niederlaendischen Tennisverband an Sponsoren wie TennisDirect + Lotterie-Anbieter) **kann** "berechtigtes Interesse" i.S.v. Art. 6 Abs. 1 lit. f DSGVO sein, sofern es nicht rechtswidrig ist. Drei Voraussetzungen kumulativ: (1) berechtigtes Interesse vorhanden; (2) Verarbeitung erforderlich; (3) keine ueberwiegenden entgegenstehenden Interessen Betroffener. Im konkreten Fall: NICHT erfuellt — Mitglieder konnten vernuenftigerweise NICHT erwarten, dass ihre Daten zu Werbezwecken weitergegeben werden.
+- **Anwendung (Skill-Pattern)**: Werbe-Daten-Weitergabe an Sponsoren / Affiliates / Newsletter-Pools — pruefen ob Mitglieder/Nutzer mit der Weitergabe rechnen konnten (vorab-Info, Datenschutzerklaerung). Im Audit: "berechtigtes Interesse" + Wirtschafts-Argument nicht pauschal ablehnen, aber Verhaeltnismaessigkeits-Test sehr streng. Skill-Output bei Mandant: Erwartung-Test ist die Crux ("haette der durchschnittliche Nutzer mit dieser Weitergabe rechnen koennen?").
+- **Source**: [curia.europa.eu C-621/22](https://curia.europa.eu/juris/document/document.jsf?text=&docid=290688&pageIndex=0&doclang=DE) · [dejure.org EuGH 04.10.2024 C-621/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=04.10.2024&Aktenzeichen=C-621/22)
+
+### EuGH — C-741/21 GP gg. juris GmbH (11.04.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Schadensersatz nach Art. 82 DSGVO hat **reine Kompensationsfunktion** — keine Abschreckungs- oder Strafzweck. (2) Das Vorliegen **mehrerer (gleichartiger) Verstoesse** (Wiederholungsverletzungen) fuehrt **nicht automatisch zu erhoehtem** Schadensersatz — Hoehe richtet sich nach konkretem Schaden, nicht nach Anzahl der Verstoesse. (3) Bei Werbe-/Direct-Marketing-Faellen: Verantwortlicher kann sich von der Haftung **exkulpieren**, wenn er nachweist, dass ihn **kein** Verschulden traf (Art. 82 Abs. 3 DSGVO).
+- **Anwendung (Skill-Pattern)**: Bei wiederholt-zugesandten Werbe-Mails trotz Widerspruch: Schadensersatz ja, aber NICHT linear pro Mail steigend. Im Memo bei Mandant mit Spam-Welle: Argumentations-Linie aus C-590/22 + C-741/21 nutzen — Hoehe orientiert sich an konkreter Auswirkung (Aerger-Tiefe, Zeit-Aufwand fuer Loeschung), nicht an "Stueckzahl".
+- **Source**: [curia.europa.eu C-741/21](https://curia.europa.eu/juris/document/document.jsf?text=&docid=284641&doclang=DE) · [EUR-Lex 62021CJ0741](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0741) · [dejure.org EuGH 11.04.2024 C-741/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=11.04.2024&Aktenzeichen=C-741/21)
+
+### EuGH — C-479/22 P OC gg. Europaeische Kommission / OLAF (07.03.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (Korrigierte Datierung: 07.03.2024, nicht 11.07.2024.) Eine Pressemitteilung der EU-Antibetrugsbehoerde **OLAF**, die **identifizierende Merkmale** (auch nicht-namentlich, aber durch "uebliche Lese-Mittel" rekonstruierbar) enthaelt, stellt **personenbezogene Daten** i.S.v. VO 2018/1725 (entspricht DSGVO fuer EU-Organe) dar. OLAF hat damit gegen Datenschutz-Vorgaben verstossen.
+- **Anwendung (Skill-Pattern)**: PR-/Compliance-Communication: jede oeffentliche Mitteilung mit "identifizierbarer" Person (auch ohne Namen — z.B. "ein griechischer Akademiker mit Forschungsfoerderung-Vorwurf") = Datenverarbeitung. Im Audit fuer Unternehmen: Pressemitteilungen, Geschaeftsberichte, interne Newsletters — Personenbezug pruefen, nicht nur namentliche Erwaehnung.
+- **Source**: [curia.europa.eu C-479/22 P](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0479) · [dejure.org EuGH 07.03.2024 C-479/22 P](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=07.03.2024&Aktenzeichen=C-479/22)
+
+### EuGH — C-768/21 TR gg. Hessischer Beauftragter fuer Datenschutz (26.09.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Aufsichtsbehoerden sind **nicht verpflichtet**, in jedem Fall einer DSGVO-Verletzung Abhilfemassnahmen (Bussgeld, Anordnung, Verwarnung) zu ergreifen. Eine Handlungspflicht besteht nur, wenn das Einschreiten **geeignet, erforderlich und verhaeltnismaessig** ist. Insbesondere darf von einer Geldbusse abgesehen werden, wenn der Verantwortliche unmittelbar nach Entdeckung des Verstosses **Selbst-Massnahmen** zur Behebung + Wiederholungs-Vermeidung trifft.
+- **Anwendung (Skill-Pattern)**: Bei selbst entdeckter Datenpanne: schnelle, dokumentierte Selbst-Korrektur + Aufsichtsbehoerde-Information ist Bussgeld-Mitigations-Strategie #1. Im Memo bei Verantwortlichen-Mandanten: "Cooperation-Krediit" beim Aufsichts-Engagement nutzen, NICHT abwarten ob Behoerde von selbst zuschlaegt.
+- **Source**: [curia.europa.eu C-768/21](https://curia.europa.eu/juris/liste.jsf?num=C-768/21) · [datenschutz.hessen.de — C-768/21](https://datenschutz.hessen.de/presse/datenschutzaufsichtsbehoerden-duerfen-massnahmen-an-der-konkreten-situation-ausrichten) · [dejure.org EuGH 26.09.2024 C-768/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=26.09.2024&Aktenzeichen=C-768/21)
+
+### EuGH — C-807/21 Deutsche Wohnen SE gg. Staatsanwaltschaft Berlin (05.12.2023) ✓ verifiziert [secondary-source-verified] ⚠️ CRITICAL fuer Bussgeld-Argumentation
+- **Tenor**: (1) Eine **juristische Person** kann unmittelbarer Adressat einer DSGVO-Geldbusse nach Art. 83 DSGVO sein — **ohne** dass der Verstoss einer konkreten natuerlichen Person (Vorstand/Geschaeftsfuehrer) zugerechnet werden muss (kein deutsches "Rechtstraeger-Prinzip" + § 30 OWiG-Hueber-Zurechnung erforderlich). (2) Bussgeld setzt aber zwingend **Verschulden** (Vorsatz oder Fahrlaessigkeit) der Verantwortlichen voraus. (3) Bei Konzernen: bei Bussgeld-Bemessung nach Art. 83 Abs. 4-6 DSGVO ist auf den **Konzern-Gesamtumsatz** ("undertaking" i.S.d. Wettbewerbsrechts) abzustellen — nicht nur Umsatz der unmittelbar verletzenden Tochter. Bestaetigt in C-383/23 ILVA (13.02.2025).
+- **Anwendung (Skill-Pattern)**: Compliance-Argumentation bei Bussgeld-Risiko: Konzern-Umsatz ist die **Bemessungs-Basis**, Tochter-Umsatz ist falsch. Dies macht DSGVO-Bussgelder fuer grosse Gruppen materiell **dramatisch** hoeher. Im Memo: Argument fuer Vorstandshaftung schwaecher (keine Management-Zurechnung erforderlich), Argument fuer Konzern-Anteils-Haftung staerker (volle Gruppen-Bemessung). KRITISCH bei jedem Bussgeld-Risiko-Memo zu zitieren.
+- **Source**: [curia.europa.eu C-807/21](https://curia.europa.eu/juris/liste.jsf?num=C-807/21) · [LTO — Deutsche Wohnen](https://www.lto.de/recht/nachrichten/n/eugh-c80721-c68321-deutsche-wohnen-dsgvo-bussgeld-kammergericht) · [GDD — Deutsche Wohnen](https://www.gdd.de/europa-meldungen/eugh-zur-bussgeldhaftung-deutsche-wohnen/) · [Osborne Clarke — C-807/21](https://www.osborneclarke.com/de/insights/eugh-zu-deutsche-wohnen-dsgvo-bussgelder-setzen-verschulden-voraus-behoerden-muessen-ihre)
+
+---
+
+## NOT_VERIFIED (manueller Volltext-Check pflicht)
+
+### C-687/23 — angeblich "Verzeichnis-Verarbeitung" (2025) — **NICHT VERIFIZIERT**
+- Status: WebSearch lieferte keine kongruenten Treffer fuer ein EuGH-Verfahren mit dem Az. **C-687/23** zum Thema "Verzeichnis-Verarbeitung". Suche nur kongruent fuer C-687/21 (MediaMarktSaturn, 25.01.2024 — bereits in Tier-1 unter eigener Position).
+- Hypothesen: (a) Az.-Tippfehler in Operator-Liste — moeglicherweise C-687/21 doppelt gemeint; (b) Fall noch nicht entschieden / im Verfahren; (c) anderer thematischer Fokus.
+- **TODO**: manueller Volltext-Check ueber [curia.europa.eu Suche C-687/23](https://curia.europa.eu/juris/liste.jsf?num=C-687/23) erforderlich, bevor zitierfaehig.
+- **NICHT** im Skill-Output zitieren bis verifiziert.
+
+### Datierungs-Korrekturen (gegenueber Operator-Brief)
+- **C-590/22 PS GbR** — korrekt: **20.06.2024**, nicht 11.04.2024 (Operator-Brief-Fehler — am 11.04.2024 erging C-741/21 juris).
+- **C-479/22 P OC/OLAF** — korrekt: **07.03.2024**, nicht 11.07.2024 (Operator-Brief-Fehler).
+- Beide Eintraege in Tier-2 mit korrekten Daten geschrieben.
+
+---
+
+## Anwendung im Skill-Output
+
+Wann zitiert man welches Urteil?
+- **Erheblichkeitsschwelle-Frage** → C-300/21 (keine Erheblichkeitsschwelle)
+- **Befuerchtungs-Schaden ausreichend** → C-340/21 + C-687/21
+- **Bagatell-Verletzung** → C-456/22
+- **Art. 22 SCHUFA / automatisierte Entscheidung** → C-26/22
+- **SCHUFA + Restschuldbefreiung** → C-634/21
+- **Mitbewerber-Klage UWG vs DSGVO** → C-21/23
+- **Schmerzensgeld-Hoehe / Quantum** → C-590/22 + C-741/21
+- **Art. 9 sensible Daten** → C-446/21
+- **Beschaeftigtendaten + Betriebsvereinbarung-Limit** → C-65/23
+- **Anrede-Pflichtangabe / Data-Minimization** → C-394/23
+- **Identitaetsdiebstahl-Befuerchtung** → C-182/22 + C-189/22
+- **Handelsregister-Daten** → C-200/23
+- **Verbandsklage-Befugnis** → C-757/22
+- **Biometrische Daten Personalausweis** → C-61/22
+- **Muendliche Auskunft Art. 15** → C-740/22
+- **Speicherbegrenzung Polizei-DB** → C-118/22
+- **Smartphone-Auswertung Polizei** → C-548/21
+- **Berechtigtes Interesse Gesellschafter** → C-17/22 + C-18/22
+- **Berechtigtes Interesse Vereins-Daten** → C-621/22
+- **OLAF / Sicherheitsbehoerden-Uebermittlung** → C-479/22 P
+- **Aufsichtsbehoerde-Einschreitens-Pflicht** → C-768/21
+- **Konzern-Umsatz-Bussgeld-Basis Art. 83** → C-807/21 (CRITICAL)
+
+---
+
+## Provenance-Notes
+
+- Jeder verifizierte Eintrag traegt `[primary-source-verified]` (curia.europa.eu bestaetigt) oder `[secondary-source-verified]` (mind. 2 Sekundaerquellen kongruent).
+- Bei Konflikten zwischen Quellen: Tenor-Wortlaut von curia.europa.eu PM > InfoCuria-Volltext > dejure-Zusammenfassung > Anwalts-Blog.
+- NIE Az. raten — wenn unsicher: NOT_VERIFIED + Volltext-Check als TODO.

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BDSG/audit-relevance.md

@@ -0,0 +1,31 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: BDSG Audit-Relevance — DSGVO-Ergaenzungen DE.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# BDSG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+BDSG laden zusaetzlich zu DSGVO bei:
+- DE-Sitz des Operators
+- HR-/Beschaeftigtendaten-Verarbeitung
+- Scoring / automatisierte Entscheidung
+
+## Pflicht-Surfaces
+
+| Surface | BDSG-§ |
+|---|---|
+| Beschaeftigtendaten | § 26 |
+| DSB-Pflicht (>= 20 MA mit reg. Verarbeitung) | § 38 |
+| Forschungs-Verarbeitung | § 27 |
+| Scoring | § 31 |
+| Strafnorm bei Vorsatz | § 42 |
+
+## Cross-Reference
+
+- DSGVO-Layer: `gesetze/DSGVO/`
+- BDSG paragraphs.md: `gesetze/BDSG/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BFSG/audit-relevance.md

@@ -0,0 +1,39 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: BFSG Audit-Relevance — Barrierefreiheit B2C-Online.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# BFSG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei B2C-Online-Anbietern, **insbesondere** ab 28.06.2025.
+
+## Mikrounternehmen-Ausnahme
+
+< 2 Mio. EUR Umsatz/Bilanzsumme + < 10 MA = ausgenommen (§ 3 BFSG).
+B2B-only = ausgenommen.
+
+## Pflicht-Surfaces
+
+| Surface | BFSG-§ |
+|---|---|
+| WCAG 2.1 Level AA Konformitaet | § 1 |
+| Erklaerung zur Barrierefreiheit | § 7 |
+| Bedienbarkeit per Tastatur | Anforderungs-VO |
+| Alt-Text fuer informative Bilder | Anforderungs-VO |
+| Aria-Labels fuer interaktive Elemente | Anforderungs-VO |
+| Kontrast >= 4.5:1 | Anforderungs-VO |
+
+## Sanktionen
+
+§ 30 BFSG: bis 100.000 EUR pro Verstoss.
+UWG-§3a-Hebel: Wettbewerber-Abmahnung moeglich.
+
+## Cross-Reference
+
+- Audit-Pattern Phase 5b: `audit-patterns.md`
+- BFSG paragraphs.md: `gesetze/BFSG/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BGB/audit-relevance.md

@@ -0,0 +1,42 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: BGB Audit-Relevance — Vertragsrecht / AGB / Verbraucherschutz.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# BGB — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei B2C-Sites + B2B-Vertraegen.
+
+## Pflicht-Surfaces
+
+| Surface | BGB-§ |
+|---|---|
+| AGB-Klauselverbote | § 305-310 |
+| AGB-Einbeziehung | § 305 Abs. 2 |
+| Generalklausel Inhaltskontrolle | § 307 |
+| Klauselverbote ohne Wertungsmoeglichkeit | § 309 |
+| Verbraucherrechte (Online) | § 312-312k |
+| Button-Loesung "zahlungspflichtig bestellen" | § 312j Abs. 3 |
+| Online-Kuendigungsbutton | § 312k |
+| Widerrufsrecht | § 355 |
+| Widerrufsfolgen | § 357-357d |
+| Pauschalreise | § 651a-y |
+| Auftrag (B2B-Service) | § 666 ff. |
+| Dauerschuldverhaeltnisse | § 309 Nr. 9 |
+
+## Az.-Anker
+
+- BGH I ZR 161/24 (Kuendigungsbutton, 22.05.2025)
+- BGH XI ZR 26/20 (Genehmigungsfiktion AGB-Aenderung, 27.04.2021)
+- BGH VIII ZR 70/08 (Widerrufsbelehrung, 21.12.2011)
+
+## Cross-Reference
+
+- Vertragsrecht: `vertragsrecht.md`
+- Bgh-Urteile zu BGB: `bgh-urteile.md`
+- Checkliste 3b AGB B2C: `checklisten.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DDG/audit-relevance.md

@@ -0,0 +1,28 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: DDG Audit-Relevance — Impressum + Hosting-Privileg.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# DDG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei JEDER geschaeftlich-betriebenen Site (auch ohne Gewinn).
+
+## Pflicht-Surfaces
+
+| Surface | DDG-§ |
+|---|---|
+| Impressum | § 5 |
+| Werbung-Kennzeichnung | § 6 |
+| UGC-Hosting-Privileg | §§ 7-10 |
+| DSA-Umsetzungs-Pflichten | §§ 18-22 |
+
+## Cross-Reference
+
+- DSA: `gesetze/EU-Verordnungen/DSA-2022-2065/`
+- Audit-Pattern Impressum: `audit-patterns.md` Phase 3
+- Branchen-spezifische Impressums-Pflichten: `branchenrecht.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DSGVO/audit-relevance.md

@@ -0,0 +1,35 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+purpose: DSGVO Audit-Relevance — Skill-Auto-Loading-Trigger.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen Verordnungs-Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# DSGVO — Audit-Relevance
+
+## Auto-Loading-Trigger (immer Pflicht)
+
+DSGVO ist Pflicht-Layer fuer JEDES Audit (auch B2B, auch wenn keine Endkunden-Daten).
+
+## Pflicht-Surfaces
+
+| Surface | DSGVO-Art. | Skill-Layer |
+|---|---|---|
+| Datenschutzerklaerung-Inhalt | 13, 14 | `audit-patterns.md` Phase 4 |
+| Cookie-Banner | 6 lit. a, 7 | `audit-patterns.md` Phase 5 + `gesetze/TDDDG/` |
+| Auskunftsanfrage | 15 | API-Route |
+| Account-Delete | 17 | API-Route + UGC-Pattern Phase 5c |
+| Datenexport | 20 | API-Route |
+| AVV-Listung | 28 | DSE-Section |
+| Drittland-Hinweis | 44, 45, 46, 49 | `international.md` |
+| Datenpanne | 33 (72h), 34 | `audit-patterns.md` Phase 5 |
+| KI-Komponente | 22, 35 | `gesetze/EU-Verordnungen/AI-Act-2024-1689/` |
+| TOMs | 32 | `it-recht.md` NIS2-Layer |
+| Sondersensible Daten | 9, 35 | DSFA-Trigger |
+
+## Cross-Reference
+
+- Vollstaendiger Artikel-Auszug: `gesetze/DSGVO/articles.md`
+- Audit-Pattern: `audit-patterns.md`
+- Bgh-Urteile zu DSGVO: `bgh-urteile.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/articles.md

@@ -3,6 +3,9 @@ license: CC BY 4.0 (EUR-Lex)
 source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
 last-checked: 2026-05-01
 purpose: EU AI Act (VO 2024/1689) — Audit-relevante Artikel für Web/SaaS mit KI-Komponente.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
 ---
 
 # EU AI Act (VO 2024/1689) — Audit-relevante Artikel
@@ -90,7 +93,7 @@ GPAI-Anbieter (z.B. OpenAI, Anthropic, Mistral) haben spezielle Pflichten:
 
 - bis 35 Mio. € oder 7% globaler Jahresumsatz: bei Verstößen gegen Art. 5 (verbotene Praktiken)
 - bis 15 Mio. € oder 3%: andere Verstöße
-- bis 7,5 Mio. € oder 1,5%: falsche Auskünfte
+- bis 7,5 Mio. € oder 1%: falsche Auskünfte (Art. 99 Abs. 5 AI-Act)
 
 ---
 

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/audit-relevance.md

@@ -0,0 +1,139 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: AI Act Audit-Relevance — Auto-Loading-Trigger und Pflicht-Surfaces fuer Skill.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# AI Act — Audit-Relevance fuer brutaler-anwalt
+
+## Wann triggert dieser Skill den AI-Act-Layer?
+
+Auto-Loading-Trigger:
+
+```
+1. Tech-Stack-Detection package.json grep:
+   - @anthropic-ai/sdk
+   - openai (npm)
+   - @mistralai/mistralai
+   - @google/generative-ai
+   - @azure/openai
+   - replicate
+   - cohere-ai
+   - @huggingface/inference
+
+2. Page-Content-Detection:
+   - "/chat" / "/assistant" / "/ai" Routes
+   - <iframe src="*chatbot*"> oder ähnliches
+   - Floating Chat-Widget im DOM (typische Selectors: [data-chatbot], #chat-widget)
+   - "AI generated" / "KI generiert" Text-Match
+   - Synthetic-Image-Generation (text-to-image API-Endpoints)
+
+3. Branchen-Trigger:
+   - HR-Tech / Recruiting (Annex III Nr. 4)
+   - Fintech mit Bonity-Score (Annex III Nr. 5.b)
+   - Telemedizin / Health-AI (Annex III Nr. 5.d)
+   - EdTech mit Auto-Grading / Proctoring (Annex III Nr. 3)
+   - KRITIS-Sektor (Annex III Nr. 2)
+```
+
+## Pflicht-Surfaces fuer Audit
+
+Pro KI-Komponente:
+
+### Surface 1 — UI-Transparenz (Art. 50)
+
+| Check | Verify |
+|---|---|
+| Chatbot-Hinweis sichtbar im Chat-UI | DOM-Probe: `<div data-chatbot> ... mit "AI" / "KI"-Label` |
+| AI-Image-Output mit Wasserzeichen | C2PA-Manifest-Check, PNG-Metadata |
+| Deep-Fake-Disclosure | UI-Audit |
+
+### Surface 2 — Daten-Governance (Art. 10, fuer Hochrisiko)
+
+| Check | Verify |
+|---|---|
+| Trainings-Daten-Quelle dokumentiert | DSE / VVT-Eintrag |
+| Trainings-Daten-Bias-Bewertung | interne Doku |
+| Repraesentative Trainings-Set | externe Pruefung empfohlen |
+
+### Surface 3 — Technische Doku (Art. 11)
+
+| Check | Verify |
+|---|---|
+| Anhang IV Tech-Doku vorhanden | interner Vault |
+| System-Architektur dokumentiert | tech-design.md |
+| Inputs / Outputs / Limitationen | API-Doku |
+
+### Surface 4 — Logging (Art. 12)
+
+| Check | Verify |
+|---|---|
+| Auto-Logging der KI-Outputs | Audit-Trail-Implementierung |
+| Aufbewahrung > 6 Monate (oder gemaess Risikoanalyse) | Cron-Job + DB-Schema |
+
+### Surface 5 — Menschliche Aufsicht (Art. 14)
+
+| Check | Verify |
+|---|---|
+| Override-Mechanismus fuer KI-Entscheidung | UI-Audit |
+| Stop-Button oder Eskalationspfad | UI-Audit |
+| Klarmacherung dass User Endentscheidung trifft | UI-Wording |
+
+### Surface 6 — Vendor-Compliance
+
+| Check | Verify |
+|---|---|
+| GPAI-Provider hat Art. 53 Tech-Doku | Vendor Trust-Center |
+| AVV / DPA datiert auf 2025+ | DPA-Stand |
+| Copyright-Policy explizit | Vendor-FAQ |
+
+### Surface 7 — DSE / AGB
+
+| Check | Verify |
+|---|---|
+| Art. 50-Hinweis in DSE | grep DSE |
+| Hochrisiko-Klassifikation in DSE genannt (wenn relevant) | grep DSE |
+| AVV mit AI-Vendor in AVV-Liste | grep DSE |
+| KI-VO-Disclaimer in AGB (RDG-Abgrenzung bei Tech-Generators) | grep AGB |
+
+## Schadens-Diagnose-Pattern (Skill-Output)
+
+Pro AI-Act-Verstoss:
+
+```
+**Finding**: Chatbot ohne KI-Hinweis in UI (Art. 50 Abs. 1)
+**Wahrsch.**: 65% (B2C-Site, Behoerde-Folgekontrolle ab Q3 2026 wahrscheinlich)
+**Kritikalitaet**: 🟡 HOCH (ab 02.08.2026 vollstaendig anwendbar)
+**§**: Art. 50 Abs. 1 i.V.m. Art. 99 Abs. 4 KI-VO
+**€-Range KMU**: 50.000–500.000 (fahrlässig, erste Auffaelligkeit, nach KMU-Privileg Art. 99 Abs. 6)
+**Belege**:
+- VO 2024/1689 Art. 50 Abs. 1
+- Erwgr. 132-134 (Transparenz-Begruendung)
+**Fix**:
+- Sichtbarer Disclaimer im Chat-UI „Sie chatten mit einem KI-System"
+- Bei Erstkontakt: Modal mit Bestaetigung
+- Code-Pattern: siehe `references/stack-patterns/ai/`-Files
+**Worst-Case-Frist**: ab 02.08.2026 sofortige Behoerden-Pruefung moeglich (Marktueberwachungsbehoerde
+nach Art. 70).
+```
+
+## Cross-References (Skill-Reference-Loading)
+
+| Wenn HUNTER findet... | Lade zusaetzlich... |
+|---|---|
+| Recruiting-Tool mit AI-CV-Screening | `branchenrecht.md` HR-Tech + § 26 BDSG + BetrVG § 87 |
+| Bonity-Scoring-Tool | `bgh-urteile.md` C-634/21 SCHUFA + Art. 22 DSGVO |
+| Telemedizin-Diagnose-AI | `branchenrecht.md` Telemedizin + MDR-Layer |
+| AI-Bilder-Generator | `transparenz-art-50.md` Abs. 2 (C2PA) |
+| Deep-Fake-Tool | `transparenz-art-50.md` Abs. 4 |
+| AI-News-Aggregator | `transparenz-art-50.md` Abs. 5 |
+| GPAI-Provider integriert | `gpai-pflichten.md` Art. 53 + AVV-Check |
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689)
+- AI Office: https://digital-strategy.ec.europa.eu/de/policies/ai-office